疫情期间,针对企业的勒索软件攻击数量大幅增加。随着越来越多的人在家工作,组织急于更新其基础设施以适应远程工作,安全漏洞经常出现。企业更容易受到网络攻击,根据毕马威 (KPMG) 的数据,当人们远程工作时,勒索软件攻击成功的可能性要高得多。美国 Colonial Pipeline Company 遭受的攻击、电脑制造商宏碁 (Acer) 被索要 5000 万美元赎金以及其他备受瞩目的勒索软件攻击清楚地表明,企业需要采取行动。勒索软件攻击在远程工作中更容易成功的部分原因是家庭 IT 系统的安全性较弱,但一个重要原因也是人类的脆弱性。勒索软件攻击者利用围绕新冠疫情危机的焦虑,诱骗毫无戒心的员工点击链接并接触有害恶意软件。通过使用有关疫苗、口罩和洗手液的信息,不法分子能够诱使员工采取他们想要的行动。预防此类攻击的最佳方法是教育和授权员工。这就是企业需要投资员工网络安全意识培训的原因。
另请参阅: 成立“勒索软件特别工作组”以应对日益增多的攻击
网络安全意识的必要性
组织的网络安全有三个主要组成部分:技术、协议/政策和人员。随着威胁的发展,安全技术也在不断发展。制定正确的政策和安全协议,组织可以防止网络攻击并将成功入侵造成的损害降至最低。网络安全的人员部分可能是最重要的,但讽刺的是,往往是最容易被忽视的部分。如果组织中的工作人员没有经过适当的培训,并且没有意识到网络安全的风险,那么最好的安全技术和政策也会失败。堡垒可能拥有最好的防御措施,如坚固的大门和充满鳄鱼的护城河,但如果守卫的士兵在不知情的情况下放下吊桥,让攻击者进来,那么这些措施将毫无用处。了解人类行为对于理解意识的必要性至关重要。人类可能会疏忽大意。如果他们不知道攻击可能是什么样子,也不了解威胁形势,他们将特别容易受到攻击。这就是为什么组织必须为员工创建网络安全意识培训,重点关注员工如何影响企业的安全以及他们需要防范哪些风险。
安全意识培训的最佳实践
1. 持续学习小知识
在设计培训计划时,将主题分解成几个部分。在每个部分中创建易于理解的简短内容。这将使培训更有效。将信息分解成更小的部分将使员工不会感到不知所措。研究表明,一个小时后,人们只能记住一半呈现给他们的信息[1]。你可以通过强化培训来提高记忆力和回忆力。简短的信息可以多次消化,而不需要员工投入大量时间。让我们以网络钓鱼电子邮件为例,你可以从一个简单的视频开始你的培训,解释概念和潜在危险,并与所有员工分享。一段时间后,你可以向员工发送虚假的网络钓鱼电子邮件,看看是谁错误地点击了链接。你可以为需要的人提供更详细的培训,然后重复一遍。这样,你就只给员工他们需要的培训量了。如果员工记住了视频中分享的信息,并且没有受到钓鱼电子邮件的欺骗,那么该员工就无需花费更多时间进行详细培训。
2. 最高风险,最高回报
关注网络安全面临的最大风险。目前存在许多不同的恶意软件、勒索软件和威胁。您的企业最容易受到哪些威胁?哪些会造成最大的影响?哪些员工对网络安全构成最大风险?回答这些问题将使您能够创建一个提供最高投资回报率的培训计划。在组织范围的培训方面,您的重点应该是与员工分享公司的目标和愿景,并鼓励设计好的行为。请记住,并非每个人都需要接受所有方面的培训。
3. 不要重复
对于员工来说,没有什么比参加他们已经知道的内容的培训更令人沮丧和恼火的了。组织通常会重复他们的培训,因为他们担心失去记忆力和回忆能力。解决这个问题的一个好方法是测试员工的知识。在测试中得分高的员工不需要再次参加培训计划。对于复杂或长期的培训计划,您可以进行分段评估,员工只需参加他们表现不佳的课程部分。这是提高培训计划效率和效果的好方法。测试还可以在员工之间产生一种内部竞争意识,并激励他们保留他们正在学习的内容,这样他们就不必重复该课程。
4. 密码存储
客户数据、员工数据、项目详细信息都是敏感信息,需要加以保护,以使组织取得成功。在这方面,使用强大而安全的密码至关重要。好的密码将防止未经授权访问设备和信息。有时,组织在进行安全意识培训时会忽视密码卫生,因为他们认为员工会按照他们使用的工具或平台的指示创建强密码,但事实并非如此。对员工进行密码卫生培训很重要。有时员工会错误地写下密码并置之不理。或者他们可能会将所有密码保存在桌面上不安全的文件中。黑客可以利用这些疏忽来访问系统。
5.持续培训至关重要
网络安全的威胁形势在不断变化,因此安全意识培训也应持续进行。随着新的威胁和攻击不断出现,员工应接受如何识别和防范这些威胁的培训。组织应定期测试员工,了解他们掌握的信息量以及是否需要进行任何再培训计划。由于许多员工都在家工作,企业应更新现有计划,以便为员工提供在线安全意识培训。如果可能的话,与教学设计师合作,创建一个全面而简洁的计划。
网络安全和培训的现状
95% 的网络安全漏洞是由人为错误造成的[2]。人类的智慧和理解力是抵御最常见的网络钓鱼攻击的最佳防御手段。远程工作者将在 2021 年继续成为黑客的目标,远程工作的增加将导致云漏洞的可能性更高。最近,针对小型企业的网络攻击数量有所增加。这不再是只有大型组织才需要担心的问题。对于没有在网络安全方面进行投资的企业来说,成功攻击的代价可能是毁灭性的。45% 的员工没有接受雇主的任何网络安全培训 [3]。这是一个严重的疏忽,因为大多数成功的勒索软件攻击都是网络钓鱼诈骗的结果,可以通过提高员工的意识来避免。
许多高管不知道在发生安全事件时应该做什么,因为企业没有制定政策。企业必须制定这些政策并将其传达给所有员工。这些政策应在员工手册、公司内部沟通工具等多个渠道上随时可供参考。政策是告知员工安全所需的基本卫生要求的好方法。例如,它们可用于告知员工不应打开来自未知 ID 的任何链接,任何来自报告经理的异常请求都应报告给 IT 团队。当黑客访问企业系统时,快速响应至关重要。通过教育员工,您可以增加预防安全攻击的机会,在最坏的情况下,及时报告给您的安全团队,以便他们采取必要的对策。
在为员工设计网络安全培训时,除了提高意识之外,员工还必须将所学知识付诸实践。因此,培训计划还应包含测试和实践部分。让培训计划具有吸引力,并奖励在测试中表现出色的员工。培训目标应该是让员工不再将培训视为义务或烦恼。安全应成为组织文化的一部分,所有员工都应了解他们在防范威胁方面发挥的作用。人类智慧仍然是企业抵御网络攻击的最佳保护手段。
订阅 whitepapers.online,获取优质白皮书、电子书以及科技界的新闻报道。
特色图片:背景照片由 rawpixel.com - www.freepik.com 创建
资料来源:
1. 2017 年 6 月,M. Bingham,“10 个关于学习记忆的统计数据,你会想忘记”,Bridge,[可在线获取] 出处:https://www.getbridge.com/en_gb/blog/10-stats-about-learning-retention-youll-want-forget/ [2021 年 5 月访问]
2. 2020 年 12 月,D. Milkovich,“15 个令人震惊的网络安全事实和统计数据”,Cybint,[可在线获取] 网址:https: //www.cybintsolutions.com/cyber-security-facts-stats/ [2021 年 5 月访问]
3. 2018 年 5 月,M. Williams,“信息图:10 份统计数据显示为什么培训是实现良好数据保护和网络安全的关键”,Pensar,[可在线获取] 出处:https: //www.pensar.co.uk/blog/cybersecurity-infographic [2021 年 5 月访问]